Sobre as principais chaves do cliente

Como parte do nosso compromisso com a segurança de ponta a ponta, o Webex detém uma chave mestra em nome de cada organização. Chamamos isso de chave mestra porque não criptografa conteúdo diretamente, mas é usado para criptografar as outras chaves da sua organização que criptografam o conteúdo. O nível de base da hierarquia de chaves é chamado de chave de conteúdo (CK) e os níveis intermediários das chaves são chamados de chaves de criptografia de chave (KEK).

Reconhecemos que algumas organizações preferem gerenciar sua própria segurança, então estamos dando a você a opção de gerenciar sua própria chave mestra do cliente (CMK). Isso significa que você assume a responsabilidade por criar e girar (recriptografar) a chave mestra que o Webex usa para criptografar suas chaves de criptografia de conteúdo.

No futuro, uma chave se refere ao CMK, a menos que especificado de outra forma.

Como funciona

  1. O Webex mantém o CMK em um módulo de segurança de hardware (HSM) para que os serviços Webex não tenham acesso ao valor CMK.

  2. O Control Hub mostra o CMK ativo ou revogado no momento e qualquer CMK pendente armazenado no HSM. Quando você precisa girar (recriptografar) o CMK, você gera seu novo CMK e criptografa-lo com a chave pública do HSM, de modo que apenas o HSM pode descriptografar e armazená-lo.

  3. Em seguida, carregue e ative o novo CMK no Control Hub. O Webex imediatamente começa a usar o novo CMK para criptografar as chaves de conteúdo. O Webex mantém o antigo CMK, mas apenas até ter certeza de que as chaves de criptografia de conteúdo são protegidas pelo novo CMK.

Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido.
Sobre as chaves AWS KMS

Reconhecemos que algumas organizações preferem gerenciar sua própria chave fora do Webex. É por isso que estamos dando a você a opção de gerenciar seu próprio CMK no Amazon Web Services (AWS) Key Management Service (KMS). Isso implica que você é responsável por gerenciar suas chaves no AWS KMS. Você autoriza o Webex a criptografar e descriptografar usando sua chave AWS KMS através do console AWS. Você fornece ao Webex sua ID de chave AWS KMS em vez de seu CMK. Isso significa que você assume a responsabilidade por criar e girar (recriptografar) a chave AWS KMS que o Webex usa para criptografar suas chaves de criptografia de conteúdo na nuvem.

Como funciona

  1. Você cria uma chave com o AWS. O AWS KMS é usado para gerenciar sua chave e armazena a chave em um módulo de segurança de hardware (HSM).

  2. Você fornece ao Webex acesso para usar a chave AWS KMS através do console AWS.

    Isso significa que, em vez de carregar seu CMK no Control Hub, você fornecerá ao Webex acesso à chave AWS KMS. A chave AWS KMS não deixa seu AWS KMS e os serviços Webex não têm acesso ao material chave AWS KMS.

    O Control Hub mostra a chave KMS do AWS ativa ou revogada e qualquer chave KMS do AWS pendente armazenada no KMS do AWS. Quando você precisa girar a chave AWS KMS, você gera sua nova chave AWS KMS com o console AWS KMS.

  3. Em seguida, você adiciona e ativa a nova chave AWS KMS no Control Hub, fornecendo-a com o nome de recurso da Amazon (ARN) da nova chave AWS KMS. O Webex imediatamente começa a usar a nova chave AWS KMS para criptografar as chaves de conteúdo. O Webex não requer mais a antiga chave AWS KMS. A antiga chave AWS KMS desaparecerá do Control Hub depois que as chaves de criptografia de conteúdo forem rotacionadas e protegidas pela nova chave AWS KMS. O Webex não exclui a chave AWS KMS do AWS KMS. O administrador do cliente pode remover a chave do AWS KMS.

Estados-chave e ciclo de vida

Ciclo de vida principal

Definições de estado-chave

Pendente

Uma chave neste estado é armazenada no HSM, mas ainda não é usada para criptografia. O Webex não usa esse CMK para criptografia.

Apenas uma chave pode estar neste estado.
Ativo

O Webex está atualmente usando este CMK para criptografar outras chaves para sua organização.

Apenas uma chave pode estar neste estado.
Rotação

O Webex está usando temporariamente este CMK. O Webex precisa dele para descriptografar seus dados e chaves que foram previamente criptografadas por essa chave. Esta chave é aposentada quando a rotação (recriptografia) está concluída.

Várias chaves podem estar neste estado se uma nova chave for ativada antes da conclusão da rotação.
Desativado

O Webex não está usando este CMK. Essa chave não é mais usada para criptografia. Um horário de vida útil da chave é definido, após o qual essa chave é removida do HSM.

Revogado

O Webex não está usando este CMK. Mesmo se houver dados e chaves que foram criptografados com esta chave, o Webex não poderá usá-los para descriptografar os dados e as chaves.

  • Você só precisa revogar uma chave ativa se suspeitar que ela está comprometida. Esta é uma decisão séria porque impede muitas operações de se comportar corretamente. Por exemplo, você não poderá criar novos espaços e não poderá descriptografar nenhum conteúdo no Cliente Webex.
  • Apenas uma chave pode estar neste estado. Você deve reativar essa chave para girar (recriptografar) uma nova chave.
  • Este CMK pode ser excluído, mas você não tem que excluí-lo. Você pode querer mantê-lo para descriptografia / recriptografia depois de resolver a violação de segurança suspeita.
Excluído

O Webex não está usando este CMK. O comportamento nesse estado é o mesmo que o estado Revogado, exceto que um horário chave para viver é definido, após o qual essa chave é removida do HSM.

  • Se um CMK excluído progride para o estado Removido, você deve recuperar a chave original para restaurar a funcionalidade para a organização.
  • Recomendamos que você mantenha uma cópia de backup da sua chave original, caso contrário, sua organização não estará mais funcional.
Removido

Este é um estado lógico. O Webex não tem esse CMK armazenado no HSM. Ele não é exibido no Control Hub.

Requisitos

Propriedade

Ao tomar posse do seu CMK, você deve:

  • Assuma a responsabilidade pela criação segura e faça backup de suas chaves
  • Entenda as implicações de perder suas chaves
  • Recriptografe seu CMK ativo pelo menos uma vez por ano como uma prática recomendada

Criação de chave

Você deve criar seu próprio CMK usando esses parâmetros. Sua chave deve ser:

  • 256 bits (32 bytes) de comprimento
  • Criptografado com o esquema RSA-OAEP
  • Criptografado com a chave pública Webex Cloud HSM

Seu software de geração de chaves deve ser capaz de:

  • Função de hash SHA-256
  • Função de geração de máscara MGF1
  • PKCS#1 OAEP preenchimento

Consulte Exemplo: Crie e criptografe chaves com OpenSSL na guia Recursos neste artigo.

Autorização

Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar seu CMK.

Crie e ative a chave mestra do seu cliente
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

Para ativar o BYOK, ative Trazer sua própria chave (BYOK) . Se você desativar o BYOK, a chave padrão Webex comum se tornará a chave principal da sua organização.

3

Selecione Carregar uma chave personalizada e clique em Próximo .

4

Clique em Baixar chave pública .

Salve a chave pública Webex HSM em um arquivo .pem no seu sistema local.

5

Crie uma chave aleatória de 256 bits (32 bytes) criptograficamente segura usando seu software de gerenciamento de chaves.

6

Use a chave pública Webex HSM para criptografar sua nova chave.

Os parâmetros de criptografia necessários são:

  • Esquema de RSA-OAEP
  • Função de hash SHA-256
  • Função de geração de máscara MGF1
  • PKCS#1 OAEP preenchimento
Consulte Exemplo: Crie e criptografe chaves com OpenSSL na guia Recursos neste artigo.
7

Arraste a chave criptografada do seu sistema de arquivos e solte-a na área de carregamento da interface do Control Hub ou clique em Escolher um arquivo .

8

Clique em Próximo.

O Webex carrega sua chave para o HSM, onde ela é descriptografada e validada. Em seguida, o Control Hub mostrará a ID do seu novo CMK e a ID do CMK ativo no momento, se houver.

Se este for seu primeiro CMK, a chave atualmente ativa é a Chave padrão comum Webex (aquela que atualmente usamos para criptografar as chaves da sua organização).

9

Escolha como deseja ativar sua chave:

  • Ativar nova chave : O novo CMK imediatamente entra no estado Ativo. O CMK ativo anteriormente entra em Rotação (estado de recriptografia), até que todo o conteúdo seja protegido pelo novo CMK, após o qual o Webex exclui o CMK ativo anteriormente.
  • Ativar mais tarde : O novo CMK é movido para o estado Pendente. O Webex mantém esse CMK no HSM, mas ainda não o usa. O Webex continua usando o CMK ativo no momento para criptografar as chaves da sua organização.

O que fazer em seguida

Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido.
Girar sua chave
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

3

Vá para o CMK ativo.

4

Clique em Menu “Mais” e selecione Girar .

5

Crie e criptografe uma nova chave (se você ainda não fez isso).

O processo está descrito em Criar e ativar a chave mestra do seu cliente neste artigo.
6

Arraste a nova chave do seu sistema de arquivos e solte-a no Control Hub.

7

Clique em Ativar nova chave .

A nova chave que você carregou vai para o estado Ativo.

O antigo CMK permanece em Rotação (estado de recriptografia) até que o Webex termine de criptografar todo o conteúdo com o novo CMK ativo. Depois de recriptografar, a chave é movida para o estado Aposentado. O Webex exclui o CMK antigo.

Revogue sua chave
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

3

Vá para a tecla ativa.

4

Clique em Menu “Mais” e selecione Revogar .

5

Confirme a revogação da chave.

Pode até 10 minutos para revogar totalmente sua chave.
Reative sua chave revogada
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

3

Vá para a chave atualmente revogada.

4

Clique em Menu “Mais” e selecione Ativar .

5

Confirme a ativação da chave.

A chave revogada anteriormente vai para o estado Ativo.
Excluir sua chave revogada
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

3

Vá para a chave revogada.

4

Clique em Menu “Mais” e selecione Excluir .

5

Confirme a exclusão da chave.

Uma vez excluído, você tem a opção de restaurar a chave dentro de 30 dias.
Restaurar sua chave revogada
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

3

Vá para a chave excluída.

4

Clique em Menu “Mais” e selecione Undelete .

5

Confirme a restauração da chave.

Depois de restaurado, o Control Hub mostra a chave no estado Revogado antes de ser excluído. Por exemplo, se você excluir uma chave revogada e restaurá-la, o Control Hub mostrará a chave restaurada no estado Revogado.

Requisitos

Propriedade

Ao tomar posse de sua chave AWS KMS, você deve:

  • Assuma a responsabilidade pela criação segura e backup de suas chaves do AWS KMS.
  • Entenda as implicações de perder suas chaves AWS KMS.
  • Recriptografe sua chave AMS KMS ativa pelo menos uma vez por ano como uma prática recomendada.

Autorização

  • Você deve estar autorizado a criar e gerenciar suas chaves no AWS KMS da sua organização Webex.
  • Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar sua chave AWS KMS.
Criar uma chave AWS KMS
1

Inicie sessão no AWS e vá para o console do AWS KMS.

2

Selecione Chaves gerenciadas pelo cliente e clique em Criar chave .

3

Crie a chave com os seguintes atributos:

  • Tipo de chave — Selecione Symmetric .
  • Uso de chave—Selecione Criptografar e descriptografar .
  • Etiquetas — Insira o alias, a descrição e as marcas.
  • Principais administradores — Selecione as funções e os usuários principais do administrador da sua organização.
  • Exclusão de chave — Marque Permitir que os administradores principais excluam essa chave .
  • Principais usuários—Selecione as principais funções e usuários da sua organização.
4

Clique em Próximo.

5

Revise suas configurações e clique em Concluir .

Sua chave AWS KMS é criada.
6

Vá para Chaves gerenciadas pelo cliente e clique no alias ou ID da chave para visualizar o ARN.

O que fazer em seguida

Recomendamos que você mantenha uma cópia temporária do ARN. Este ARN é usado para adicionar e ativar sua chave AWS KMS no Control Hub.

Autorize o Cisco KMS com acesso à chave AWS KMS
1

Inicie sessão no AWS e vá para o console do AWS CloudShell.

2

Execute create-grant para autorizar o Webex da seguinte forma:

aws kms create-grant \ - name {UNIQUE_NOME_PARA_GRANT} \ --key-id {UUID_Of_AWS_KMS Key} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USUÁRIO_ARN} \ --aposentar-principal {KMS_CISCO_USUÁRIO_ARN}
Por exemplo: 
aws kms create-grant \ --name Cisco-KMS-xxxxxxx-encrypt-decrypt \ --key-id xxxxxx-xxxx-xxxx-xxxxx-xxxxxx \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxx:user/kms-cisco-user
O KMS _ CISCO _ USER _ ARN é específico da sua organização. O ARN é mostrado na janela Adicionar sua chave AWS ao ativar sua nova chave AWK KMS no Control Hub.
Adicione e ative sua chave AWS KMS

Antes de começar

Você deve criar uma chave AWS KMS antes de ativá-la no Control Hub. Consulte Criar uma chave AWS KMS neste artigo.

Você deve fornecer ao Webex acesso à chave AWS KMS. Consulte Autorizar Cisco KMS com acesso à chave AWS KMS neste artigo.

1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave , e ative a opção Trazer sua própria chave (BYOK) .

Se você desativar o BYOK, a chave padrão Webex comum se tornará a chave principal da sua organização.

3

Selecione Adicionar chave AWS KMS e clique em Próximo .

4

Obtenha o ARN do console AWS.

5

Insira o ARN no Control Hub e clique em Adicionar .

O ARN da chave é carregado para o Cisco KMS, onde o acesso à chave é validado. Em seguida, o Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS ativa, se houver.

Se esta for sua primeira chave AWS KMS, a chave atualmente ativa é a chave padrão comum Webex (aquela que atualmente usamos para criptografar as chaves da sua organização).

6

Escolha como deseja ativar sua chave:

  • Ativar : A nova chave AWS KMS imediatamente entra no estado Ativo.
  • Ativar mais tarde : A nova chave AWS KMS é movida para o estado Pendente. O Webex mantém este ARN de chave AWS KMS no Cisco KMS, mas ainda não o usa. O Webex continua usando a chave AWS KMS atualmente ativa para criptografar as chaves da sua organização.
Gire sua chave AWS KMS
1

Inicie sessão no Control Hub e vá até Configurações da organização > Gerenciamento de chave .

2

Vá para a chave AWS KMS ativa.

3

Clique em Menu “Mais” e selecione Girar .

4

Insira sua nova chave AWS KMS e o novo ARN e clique em Adicionar .

O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.
5

Clique em Ativar.

A nova chave AWS KMS que você carregou vai para o estado Ativo.

A antiga chave AWS KMS permanece no estado Rotativo até que o Webex conclua a criptografia de todo o seu conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub.

Girar para adicionar outra chave AWS KMS (opcional)
1

Inicie sessão no Control Hub e vá até Configurações da organização > Gerenciamento de chave .

2

Clique em Adicionar outra chave .

3

Insira sua nova chave AWS KMS e clique em Adicionar .

O Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS ativa no momento.

O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.

4

Clique em Ativar.

A nova chave AWS KMS que você carregou vai para o estado Ativo.

A antiga chave AWS KMS permanece no estado Rotativo até que o Webex conclua a criptografia de todo o seu conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub.

Revogue sua chave AWS KMS
1

Inicie sessão no Control Hub e vá até Configurações da organização > Gerenciamento de chave .

2

Vá para a chave AWS KMS ativa no momento.

3

Clique em Menu “Mais” e selecione revogar localmente .

4

Confirme a revogação da chave.

Pode até 10 minutos para revogar totalmente sua chave. A chave AWS KMS entra no estado Localmente revogado.

Se o administrador do cliente revogar a chave do console AWS KMS, a chave AWS KMS será exibida no Revogado pelo estado da Amazon no Control Hub.

Excluir sua chave AWS KMS
1

Inicie sessão no Control Hub e vá até Configurações da organização > Gerenciamento de chave .

2

Vá para a chave KMS do AWS revogada.

3

Clique em Menu “Mais” e selecione Excluir .

4

Confirme a exclusão da chave.

Uma vez excluído, você pode recuperar a chave dentro de 30 dias.

Recomendamos que você exclua a chave AWS KMS do Control Hub primeiro antes de excluir o CMK do console AWS. Se você excluir seu CMK do console AWS antes de excluir a chave AWS KMS no Control Hub, você pode ter problemas.

Certifique-se de que a chave AWS KMS não esteja mais visível no Control Hub antes de excluir o CMK do console AWS.

Restaure sua chave AWS KMS
1

Inicie sessão no Control Hub e vá até Configurações da organização > Gerenciamento de chave .

2

Vá para a chave AWS KMS excluída.

3

Clique em Menu “Mais” e selecione Undelete .

4

Confirme a restauração da chave.

Depois de restaurado, o Control Hub mostra a chave no estado Revogado.

Solucionar problemas da chave AWS KMS

Se você tiver problemas com sua chave AWS KMS, use as seguintes informações para solucioná-la.

  • ARN chave AWS KMS. Por exemplo, arn:aws:kms:us-east-2:1111222223333:key/1234abcd-12ab-34cd-56ef-1234567890ab .

  • Concessões na chave AWS KMS .

  • Estado-chave do AWS KMS. Por exemplo, a chave AWS KMS está desativada.

Exemplo: Criar e criptografar chaves com OpenSSL

Este exemplo usa a versão 3.0 das ferramentas de linha de comando OpenSSL. Consulte OpenSSL para obter mais informações sobre essas ferramentas.

1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chave .

3

Clique em Baixar chave pública .

Você obtém a chave pública Webex HSM em um arquivo .pem em seu sistema local.

4

Crie uma chave de 256 bits (32 bytes): openssl rand -out main_key.bin 32 .

O exemplo usa o main_keyfilename.bin para sua nova chave não criptografada.

Como alternativa, você pode gerar um valor aleatório de 32 bytes usando os geradores Hex dump, Python ou online. Você também pode criar e gerenciar sua chave AWS KMS .

5

Use a chave pública Webex HSM para criptografar sua nova chave:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -inmain_key.bin -outmain_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

O exemplo usa o nome do arquivomain_key_encrypted.bin para a chave de saída criptografada e o nome do arquivo path/to/public.pem para a chave pública Webex.

A chave criptografada está pronta para ser carregada no Control Hub.

Leitura relacionada